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Inleiding 

Het is de inzet van dit kabinet dat digitale dienstverlening van de 
Nederlandse overheid in de komende jaren een grote vlucht neemt. De 
voorziening DigiD, die burgers in staat stelt Online hun identiteit aan te 
tonen, neemt daarin een heel belangrijke plaats in. In aanloop naar 
Idensys (voorheen het elD Stelsel) blijft DigiD de komende jaren een 
belangrijke voorziening waarop vertrouwd moet kunnen worden. Het 
huidige DigiD moet immers in de lucht blijven totdat alle afnemers 
gebruik maken van Idensys en burgers zich via Idensys goed kunnen 
identificeren voor publieke diensten. 

Als Minister van BZK ben ik verantwoordelijk voor DigiD en is mij er veel 
aan gelegen het vertrouwen in DigiD te bevorderen. Kritieken op de 
veiligheid van DigiD neem ik daarom heel serieus. 

De Algemene Rekenkamer (AR) concludeerde in haar verantwoordingson- 
derzoek over 2014 dat de DigiD-omgeving, naast de webomgevingen van 
meerdere afnemers, al enkele jaren niet volledig voldoet aan de belang¬ 
rijkste beveiligingsnormen en dat de beveiliging onvoldoende 
bescherming biedt voor aanvallen op de webomgeving. Hierdoor is 
volgens de AR sprake van belangrijke beveiligingsrisico's. 1 

In 2014 al heb ik de beheerorganisatie Logius, onderdeel van mijn 
ministerie, de opdracht gegeven de veiligheid van DigiD grondig aan te 
pakken en te beginnen met het oplossen van de in 2014 geconstateerde 
bevindingen van de AR. 
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In het Algemeen Overleg (AO) ICT-aangelegenheden van 20 mei jl. heb ik 
de toezegging gedaan uw Kamer een tussenrapportage te zenden over de 
stappen die worden genomen om de beveiliging van DigiD te verbeteren 
(Kamerstuk 26 643, nr. 366). In het vervolg van deze brief ga ik in op de 
resultaten en de stand van zaken van de inspanningen die vorig jaar en dit 
jaar hiertoe zijn en worden geleverd. 

Stand van zaken 

In mijn brief van 24 februari 2015 heb ik uw Kamer gemeld dat een 
taskforce bij Logius in 2014 uitvoering heeft gegeven aan een actieplan 
DigiD assessmentnormen dat primair gericht was op het oplossen van de 
bevindingen van de AR. 2 

Uit een rapport van een externe auditor van 1 juni 2015, dat op 6 juli jl. 
vertrouwelijk ter inzage aan uw Kamer is aangeboden, blijkt dat alle 
oorspronkelijke bevindingen uit 2014, waarover de AR rapporteerde in 
haar verantwoordingsonderzoek, zijn opgelost (Kamerstuk 26 643, nr. 

364). Uit dit auditrapport bleek verder dat DigiD op dat moment nog 
slechts aan één norm niet voldeed. Dat betrof een nieuwe bevinding van 
de externe auditor, op basis van de bestaande kaders. 

In juli zijn maatregelen genomen om ook aan die laatste norm te voldoen. 
Een andere dan bovengenoemde externe auditor heeft onlangs vastge¬ 
steld dat de laatste bevinding inderdaad qua opzet en bestaan is opgelost. 
De werking van de getroffen maatregelen over een periode van minimaal 
6 maanden zal in 2016 moeten worden aangetoond. 3 

Zoals u weet zijn de afnemers van DigiD inmiddels jaarlijks onderwerp 
van een ICT-beveiligingsassessment. Dit jaar verloopt de afhandeling 
voorspoedig. Organisaties die in gebreke bleven, heb ik hier bestuurlijk op 
laten aanspreken. Bij niet tijdig voldoen aan de gestelde normen is de 
dienstverlening opgeschort, wat zich 7 keer heeft voorgedaan in 2015. 

De AR verwacht van mij dat ik de afnemers concreter informeer over de 
betrouwbaarheidsniveaus van DigiD en afnemers er nadrukkelijker op wijs 
wanneer zij DigiD gebruiken voor processen waarvoor een hoger 
betrouwbaarheidsniveau noodzakelijk is. 

Tijdens het aansluitproces op DigiD wordt de potentiële afnemer 
uitdrukkelijk gewezen op het belang om goed vast te stellen welk niveau 
van betrouwbaarheid van DigiD bij een bepaalde dienst hoort. Ik blijf erbij 
dat de afnemer zelf dit het best kan doen omdat daar de kennis aanwezig 
is over het specifieke proces waarvoor DigiD wordt ingezet. Daarnaast is 
het de verantwoordelijkheid van de afnemer, mede op grond van de Wet 
bescherming persoonsgegevens, om het voor een digitale dienst passend 
betrouwbaarheidsniveau van authenticatie toe te passen. 

Wel ondersteun ik de afnemer om dit zorgvuldig te doen onder meer met 
de door het Forum Standaardisatie vastgestelde handreiking «Betrouw¬ 
baarheidsniveaus voor authenticatie bij elektronische overheidsdiensten». 

Project Arend 

Informatiebeveiliging en daarmee ook de beveiliging van DigiD vraagt om 
niet aflatende alertheid. Daarom is Logius in 2015, als vervolg op 
bovengenoemd actieplan, het project Arend gestart. 


2 Kamerstuk 26 643, nr. 352. 

3 Opzet wil zeggen dat er een ontwerp is; bestaan wil zeggen dat de noodzakelijke processen zijn 
ingericht en werking wil zeggen dat de processen werken zoals ze zijn bedoeld. 
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Naast de verantwoordingsonderzoeken van de AR zijn door de Audit- 
dienst Rijk en Logius in 2013 en 2014 onderzoeken gedaan naar de 
veiligheid van de DigiD-omgeving, gebaseerd op verschillende normen¬ 
kaders. Daaruit zijn, los van de bevindingen van de AR, ruim honderd 
aanbevelingen naar voren gekomen, die verschillend zijn van aard en 
zwaarte. 

Doelstelling van het project Arend is de originele bevindingen op te 
lossen en de aanbevelingen met meer dan een laag risico door te voeren. 
En de processen bij Logius, waar nodig, structureel hiervoor aan te 
passen. Het is de opdracht van Logius om DigiD aan alle vigerende 
normenkaders te laten voldoen. De snelle technologische en maatschap¬ 
pelijke ontwikkelingen gaan ondertussen door. Dat betekent dat ook na 
het project Arend de beveiliging van informatie een continu 
aandachtspunt zal blijven. 

Op het moment van schrijven van deze brief zijn de laatste aanbevelingen 
in behandeling. De oplossingen van de laatste aanbevelingen zijn 
complex en hebben implicaties voor bestaande werkwijzen en afspraken 
met de leverancier van DigiD. Deze aanpassingen vragen daarom meer 
tijd. Het streven is en blijft de behandeling van alle aanbevelingen vóór 
het eind van 2015, in ieder geval qua opzet en bestaan, te hebben 
afgerond. Medio 2016 zal moeten blijken of alle getroffen maatregelen 
effectief zijn of dat er nog aanpassingen noodzakelijk zijn. 

Slotwoord 

Honderd procent veiligheid is niet te garanderen. Daarnaast evolueert de 
techniek voortdurend en worden de standaarden en normen voor 
informatiebeveiliging daarop aangepast. In 2016 zal Logius daarom 
onverkort, als onderdeel van de dagelijkse werkzaamheden, aandacht 
blijven besteden aan de beveiliging van de DigiD-omgeving en die van de 
webomgevingen van de afnemers. 

Ik ben er van overtuigd dat door uitvoering van het actieplan in 2014 en 
het project Arend in 2015 de kwaliteit van de beschikbaarheid, integriteit 
en vertrouwelijkheid van DigiD verder is verbeterd en structureel continue 
aandacht krijgt. Daarbij wil ik er op wijzen dat er zich het afgelopen jaar 
geen noemenswaardige incidenten met DigiD hebben voorgedaan. 

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, 

R.H.A. Plasterk 
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